Notebookcheck Logo

Microsoft Exchange Server zero-day sfruttato tramite un'email artigianale

La falla CVE-2026-42897 riguarda l'interfaccia di Outlook Web Access su Exchange Server on-premises.
ⓘ rawpixel.com
La falla CVE-2026-42897 riguarda l'interfaccia di Outlook Web Access su Exchange Server on-premises.
Microsoft conferma lo sfruttamento attivo dello zero-day di Exchange Server CVE-2026-42897 tramite email modificate, senza una patch permanente disponibile per le implementazioni on-prem.
Security Software Windows Microsoft Desktop Laptop / Notebook

Microsoft ha confermato lo sfruttamento attivo di CVE-2026-42897, uno zero-day in Exchange Server on-premises che consente agli aggressori di eseguire JavaScript arbitrari nel browser di una vittima inviando un'e-mail artigianale. Non esiste una patch permanente. Microsoft ha distribuito una mitigazione di emergenza il 14 maggio, e il CISA ha aggiunto la falla al suo catalogo di Vulnerabilità Conosciute Sfruttate il giorno successivo, richiedendo alle agenzie federali di rimediare entro il 29 maggio. Exchange Online non è interessato.

Cosa fa CVE-2026-42897

CVE-2026-42897 è una falla di cross-site scripting nel componente Outlook Web Access di Microsoft Exchange Server on-premises, classificata CVSS 8.1. Un aggressore invia un'e-mail appositamente creata a un bersaglio. Quando il destinatario la apre in OWA in determinate condizioni di interazione, JavaScript arbitrario viene eseguito all'interno della sessione del browser.

Microsoft classifica la vulnerabilità come un problema di spoofing radicato nella neutralizzazione impropria dell'input durante la generazione della pagina web. Il percorso di attacco non richiede l'autenticazione o l'accesso al server. Inizia con una casella di posta elettronica.

Chi è colpito

La falla colpisce Exchange Server 2016, Exchange Server 2019 e Exchange Server Subscription Edition in sede, a qualsiasi livello di aggiornamento. Exchange Online non è vulnerabile.

Exchange on-premise è al centro della posta elettronica aziendale per i governi, le istituzioni finanziarie e le imprese che non sono passate al cloud. Il catalogo delle Vulnerabilità Conosciute Sfruttate del CISA elenca già quasi due dozzine di falle di Exchange Server, e i gruppi di ransomware ne hanno sfruttate diverse per violare gli obiettivi. La CVE-2026-42897 è arrivata solo due giorni dopo il Patch Tuesday di maggio, che ha corretto 120 vulnerabilità, ma non ha rivelato alcun zero-days nelle sue note di rilascio.

Attenuazione della falla

Microsoft ha distribuito una correzione temporanea attraverso il suo Exchange Emergency Mitigation Serviceetichettato M2.1.x. L'EEMS applica la mitigazione automaticamente tramite la configurazione della riscrittura degli URL sui server Exchange Mailbox in cui il servizio è abilitato per impostazione predefinita. Gli amministratori possono verificare lo stato utilizzando lo script Exchange Health Checker all'indirizzo aka.ms/ExchangeHealthChecker.

Per gli ambienti con air-gapped o disconnessi, dove EEMS non può raggiungere i server di Microsoft, gli amministratori devono scaricare manualmente l'ultimo Exchange On-premises Mitigation Tool ed eseguirlo tramite una Exchange Management Shell elevata. Il comando si rivolge a un singolo server o può essere eseguito su tutto il parco macchine di Exchange in una sola volta.

C'è un problema estetico da tenere presente. Alcuni server mostreranno lo stato della mitigazione come "Mitigazione non valida per questa versione di Exchange" nel campo della descrizione. Microsoft conferma che la correzione è stata applicata correttamente in questi casi se la colonna di stato indica "Applicato". Il testo visualizzato è un bug cosmetico noto in fase di indagine.

Effetti collaterali della correzione

L'applicazione della correzione ha conseguenze funzionali. La funzione Calendario di stampa OWA smette di funzionare dopo l'applicazione della mitigazione. Le immagini in linea non vengono più visualizzate correttamente nei riquadri di lettura dei destinatari all'interno di Outlook Web Access.

Anche OWA Light, l'interfaccia legacy a cui si accede tramite un URL che termina con /?layout=light, smette di funzionare dopo l'applicazione della mitigazione. Microsoft ha deprecato l'interfaccia anni fa e non la considera pronta per la produzione, ma le organizzazioni che la utilizzano ancora dovranno indirizzare gli utenti attraverso l'URL OWA standard.

Ancora nessuna patch permanente

Microsoft sta sviluppando una correzione permanente e non ha confermato una tempistica di rilascio. Quando sarà disponibile, Exchange Server Subscription Edition la riceverà attraverso il canale di aggiornamento standard. Exchange Server 2016 e 2019 otterranno la patch permanente solo attraverso il programma di aggiornamento di sicurezza esteso di Microsoft, Periodo 2.

Le organizzazioni che utilizzano una delle due versioni precedenti senza iscrizione all'ESU rimarranno esposte fino a quando non applicheranno manualmente la mitigazione di emergenza. Il CISA ha aggiunto CVE-2026-42897 al catalogo delle Vulnerabilità Conosciute Sfruttate il 15 maggio e richiede alle agenzie federali del ramo esecutivo civile di rimediare entro il 29 maggio. Microsoft non ha identificato gli attori delle minacce dietro gli attacchi attivi né ha rivelato quali organizzazioni hanno preso di mira gli aggressori.

La tempistica di CVE-2026-42897 si colloca all'altro capo del ciclo di vita delle vulnerabilità rispetto alla scoperta proattiva. Il modello MDASH AI di Microsoft ha recentemente identificato 16 falle critiche di Windows prima che gli aggressori potessero raggiungerle, un approccio di rilevamento che CVE-2026-42897 ha aggirato completamente.

Google LogoAdd as a preferred source on Google
Mail Logo

Articoli collegati

> Recensioni e prove di notebook, tablets e smartphones > News > Newsarchive 2026 05 > Microsoft Exchange Server zero-day sfruttato tramite un'email artigianale
Darryl Linington, 2026-05-17 (Update: 2026-05-17)